Necurs 是全球最大的垃圾邮件僵尸网络，由数百万受感染的计算机组成，曾用于扩散 Locky、GlobeImposter Trickbot 等多个恶意软件。4月研究人员发现Necurs的操纵者使用新技术规避检测——向受害者发送含有压缩包的邮件，解压后出现扩展名为 .URL 的文件，这些文件将利用服务器消息块(SMB)协议从远程服务器执行有效负载，从而成功地避开某些垃圾邮件过滤器。“道高一尺，魔高一丈”，最近趋势科技发现Necurs的作者在被发现后对规避方法似乎进行了升级。

这一次,来自僵尸网络的新一轮垃圾邮件使用Web查询文件IQY来逃避检测。具有特定格式的文本文件IQY文件允许用户从外部源导入数据到Excel电子表格中，并且Windows会在Excel中自动执行它们。

图1.有IQY附件的电子邮件

趋势科技披露，Necurs使用IQY文件附件的垃圾邮件的主题和文件名包含与促销、优惠和折扣等相关词汇。一旦执行，IQY文件将查询其代码中指示的URL，这会导致数据从目标网址被拉到Excel工作表中。而获取的文件加密数据包含滥用Excel动态数据交换（DDE）功能的脚本，以执行命令行并启动PowerShell进程。通过此过程，远程PowerShell脚本在目标系统上无文件地执行。该脚本旨在下载可执行文件，特洛伊木马远程访问应用程序及其最终有效载荷：FlawedAMMYY后门程序。该恶意软件应该是使用Ammyy Admin远程访问特洛伊木马的泄漏代码构建的。作为最近的攻击的一部分，脚本会在最终的有效载荷之前下载一个图像文件。安全研究人员说，这张图片是一个伪装的恶意软件下载程序，用于获取包含相同主要后门例程的加密组件文件。

图2.以附件IQY文件开始的感染链

FlawedAMMYY设计用于执行远程恶意服务器的一系列命令，包括文件管理器，视图屏幕，远程控制，音频聊天，RDP SessionsService  -安装/启动/停止/删除禁用桌面背景，禁用桌面组合，禁用视觉效果以及显示工具提示鼠标光标闪烁的原因。

在Necurs中添加这一新的规避层将带来新的挑战，因为web查询通常以明文文件的形式出现，这使得所附的IQY文件的URL成为恶意软件活动的唯一指示。此外，它的结构与普通的Web查询相同。因此，一种可以阻止恶意url的安全解决方案才可以抵御这种威胁。

为了抵御这些威胁，严格的安全协议和最佳实践至关重要。此外，由于这是已知的攻击媒介，用户在执行IQY文件附件时会收到两条警告消息，如果注意这些警告则可以阻止感染。